Picus Security Erläutert Schritte für Red-Teaming-Angriffsszenarien

Picus Security hat eine detaillierte Anleitung zur Erstellung von Red-Teaming-Angriffsszenarien veröffentlicht, wobei der erste Teil darauf abzielt, Sicherheitskontrollen zu umgehen. Das auf Sicherheitstests spezialisierte Unternehmen erläutert den Prozess der Erstellung und Ausführung dieser Szenarien zur Bewertung der Wirksamkeit bestehender Sicherheitsmaßnahmen.

Laut Picus Labs sind Angriffsszenarien strukturierte Sequenzen von Techniken, Taktiken und Prozeduren (TTPs), die von Angreifern zur Erreichung ihrer Ziele verwendet werden. Die Entwicklung dieser Szenarien ist ein entscheidender Bestandteil von Red-Team-Operationen und erfordert oft wochenlange Planung, um geeignete TTPs auszuwählen, die reale Bedrohungen nachahmen.

Die veröffentlichte Anleitung beschreibt einen spezifischen Angriffsvektor, der damit beginnt, dass ein Benutzer einen gefälschten, bösartigen Installer herunterlädt, der als legitime Software getarnt ist. Nach der Ausführung stellt der Installer bösartige BAT- und DLL-Dateien bereit. Die DLL-Komponente verwendet Common Language Runtime (CLR) Hooking, um Sicherheitskontrollen zu umgehen, was das Herunterladen und Ausführen einer Meterpreter-Payload ermöglicht und gleichzeitig die Erkennung vermeidet.

Diese Methode beinhaltet das Einschleusen von Code in einen legitimen Prozess, wie z. B. werfault.exe, unter dem Deckmantel eines anderen Systemprozesses wie spoolsv.exe. Die Technik umfasst auch Methoden zur Verhinderung von Sicherheitsanalysen und zur Gewährleistung der unentdeckten Ausführung des bösartigen Codes. Picus Security zielt darauf ab, praktische Einblicke in die Design- und Entwicklungsphasen solcher Angriffsszenarien für Sicherheitsexperten zu geben.